اكتشاف برنامج تجسس إلكتروني منتشر في المنطقة العربية منذ 2012

المقلاع طورته مجموعة عالية التنظيم والاحترافية قد تحظى برعاية حكومية

كشف باحثون في شركة «كاسبرسكي لاب»، المتخصصة بالأمن الرقمي، عن تهديد متطور استخدم للتجسس الإلكتروني في منطقة الشرق الأوسط وأفريقيا، منذ عام 2012 على أقل تقدير حتى شهر فبراير (شباط) الماضي. ويبدو أن الهدف الرئيسي لبرمجية «سلينغشوت» هو التجسس الإلكتروني، وهناك دلالات تقنية تُرجح أن المجموعة الكامنة وراء هذه البرمجية مجموعة عالية التنظيم والاحترافية، وقد تحظى برعاية حكومية.
وتهاجم البرمجية الخبيثة التي أطلق عليها اسم «سلينغشوت» Slingshot (المقلاع)، وتصيب الضحايا، من خلال بعض أجهزة التوجيه الشبكية Router الرديئة، ويمكن أن تعمل في النمط الجوهري Kernel Mode، ما يمنحها سيطرة كاملة على الأجهزة الضحية. ويُعد كثير من الأساليب المستخدمة من قبل هذه البرمجية فريد من نوعه، وفقاً للباحثين الذين أكدوا فعاليتها الشديدة في الجمع الخفي للمعلومات، والقدرة على إخفاء حركتها ضمن حزم البيانات الملحوظة التي يمكنها اعتراضها دون العثور على أي أثر للاتصالات اليومية التي تُجريها.
وتُشير التحاليل إلى أن البرمجية الخبيثة تجمع لقطات الشاشة وبيانات من لوحة المفاتيح وبيانات شبكية وكلمات مرور ووصلات USB وأنشطة أخرى على سطح المكتب وبيانات الحافظة الإلكترونية وغيرها، فوصول البرمجية الخبيثة إلى جوهر النظام يعني أن بإمكانها سرقة كل ما تريد. وهناك دلالات في الشفرة البرمجية تشير إلى أن لغة المجموعة المطورة للبرمجة الخبيثة هي الإنجليزية، فيما يظل تحديد الإسناد الدقيق صعباً، كما أنه عُرضة للتلاعب والخطأ بشكل متزايد.
وأظهرت تحاليل الباحثين أن ملف scesrv.dll في مجلد النظام يتضمن شفرة خبيثة، على الرغم من أنه يبدو جزءاً أصيلاً من نظام التشغيل. وبما أن مكتبة الملفات هذه مُحمّلة بالملف التشغيلي services.exe، وهي طريقة معالجة تتمتع بامتيازات نظام التشغيل، فقد اكتسبت المكتبة «الملغمة» الامتيازات نفسها المتاحة لمكتبة الملفات، ليُدرك الباحثون عندها أن دخيلاً استطاع أن يتسلل إلى العمق، ووجد طريقه إلى قلب جهاز الحاسوب. وتعمل برمجية «سلينغشوت» خادماً خلفياً سلبياً، إذ لا تحتوي على عنوان ضمني لمركز القيادة والسيطرة، ولكنها تحصل عليه من المشغل عبر اعتراض جميع حزم البيانات الشبكية في الوضع الجوهري، والتحقق من الوضع لمعرفة ما إذا كان هناك اثنان من الثوابت السحرية المضمنة في مقدمة القطعة البرمجية. وإذا كانت هذه هي الحال، فهذا يعني أن هذه الحزمة تحتوي على عنوان لمركز القيادة والسيطرة. وبعد ذلك، تُنشئ «سلينغشوت» قناة اتصال مشفرة تصلها بمركز القيادة والسيطرة، وتبدأ في نقل البيانات من أجل تسريبها.
وقد يكون الناقل غير الاعتيادي لبرمجية «سلينغشوت» هو الشيء الأكثر إثارة للاهتمام فيها، حيث وجد الباحثون مع اكتشافهم المزيد من الضحايا أن كثيراً منها أصيب في البداية من موجهات مُخترقة. ويبدو أن المجموعة القائمة خلف هجمات «سلينغشوت» تقوم في أثناء شنها تلك الهجمات باختراق الموجهات، زارعة فيها مكتبة روابط ديناميكية خبيثة، ليست في واقع الأمر سوى أداة تحميل لمكونات خبيثة أخرى. وتقوم «سلينغشوت» بعد الإصابة بتحميل عدد من الوحدات على الجهاز الضحية، بما في ذلك وحدتان ضخمتان وقويتان، هما Cahnadr وGollumApp، وتأتيان متصلتين ومتعاونتين في مداومة العمل على جمع المعلومات وتسريب البيانات.
وشاهد الباحثون، حتى الآن، نحو 100 ضحية لبرمجية «سلينغشوت» والوحدات المرتبطة بها، تقع في كينيا واليمن وأفغانستان وليبيا والكونغو والأردن وتركيا والعراق والسودان والصومال وتنزانيا. ويبدو أن معظم الضحايا المستهدفين أفراد لا مؤسسات، ولكن بعضهم من الشركات والمؤسسات الحكومية، فيما يقع معظم الضحايا الذين تمت ملاحظتهم حتى الآن في كينيا واليمن. وقال أليكسي شولمين، المحلل الرئيسي للبرمجيات الخبيثة في «كاسبرسكي لاب»، إن «سلينغشوت» عبارة عن تهديد متطور يلجأ إلى استخدام مجموعة واسعة من الأدوات والأساليب، بما في ذلك وحدات النمط الجوهري التي ظهرت حتى الآن فقط في الهجمات الأكثر تقدماً، وأن هذه الوظيفية ثمينة ومربحة للمهاجمين، ما يُفسر سبب وجودها لمدة 6 سنوات على الأقل.
ولتجنب الوقوع ضحية لمثل هذا الهجوم، يوصي باحثو الشركة باتباع التدابير التالية: أولاً، ينبغي على مستخدمي الموجهات من Mikrotik الترقية إلى أحدث إصدار برمجي في أقرب وقت ممكن لضمان الحماية من الثغرات المعروفة. وعلاوة على ذلك، لم يعد Mikrotik Winbox يقوم بتحميل أي شيء من جهاز التوجيه إلى حاسوب المستخدم. كما يجب استخدام حل أمني مُثبت وممتاز مع تقنيات مكافحة الهجمات الموجهة ومعلومات التهديدات، مثل الحل Kaspersky Threat Management and Defense القادر على اكتشاف الهجمات الموجهة المتقدمة ومنعها، من خلال تحليل الشذوذ في حركة البيانات الشبكية، وإعطاء فرق الأمن الإلكتروني رؤية كاملة داخل الشبكة، وأتمتة التجاوب مع التهديدات. ويُنصح بإتاحة المجال أمام موظفي الأمن للوصول إلى أحدث بيانات التهديدات، ما من شأنه تسليحهم بأدوات مفيدة للبحث والوقاية من الهجمات الموجهة، مثل مؤشرات الاختراق ومنصة YARA والتقارير الخاصة بالتهديدات المتقدمة. وإذا تم تحديد مؤشرات مبكرة على وقوع هجوم موجه، فعلى المستخدم أن يضع في اعتباره خدمات الحماية المدارة التي تسمح له باكتشاف التهديدات المتقدمة بشكل استباقي، وخفض الوقت الذي يستغرقه الانتظار وترتيب التجاوب مع الحوادث في الوقت المناسب. ويمكن الاطلاع على التقرير الخاص بالتهديد المتقدم المستمر عن «سلينغشوت» عبر الموقع: securelist.com/apt-slingshot/84312